Jump to content

Gunter

Members
  • Content Count

    66
  • Joined

  • Last visited

About Gunter

  • Rank
    Candidate
  1. Не совсем так. Не во всех организациях есть внутренние нормативные документы, ограничивающие перемещение определенной информации. Это накладывает ограничения на использование ПО. А потом, у вендоров есть база по лицензиям, кто, когда купил лицензию и на что, на какой продукт. Так что не все так плохо. Да, не нужно. Не нужно для проверки подозрительного файла, обнаруженного антивирусом на эндпоитне. При условии, что в облаке уже известно об этом подозрительном файле. Но нужен сам файл, если наш хост с KES - является точкой сбора для KSN или для локальной базы. А почему нет? Мы же не знаем, что уходит в обратную сторону... Этот момент можно было бы урегулировать разной стоимостью лицензии. Если мы точка сбора, то лицензия дешевле, если мы только пользователь Облачной репутационной базы вредоносных/подозрительных программ, то дороже. А клиенты сами выберут подходящий для них вариант. Я повторю свой вопрос: есть ли вариант установки KES8 или KAV winwks 6.0.4.1611, когда мы отправляем только хэш подозрительных файлов и не участвуем в заполнении Облачной базы вредоносных программ? Участие в KSN только как пользователя. Пусть за другие деньги.
  2. Это не торенты. Это не домашний сектор. Предприятия платят деньги за функционал. Есть - хорошо, покупаем, нет - тоже покупаем, но у другого вендора. Это же понятно. Выбор есть и это вендоры борятся за клиентов, а не наоборот. В некоторых конторах, особенного гос. есть правила безопасности и если продукт не удовлетворяет правилам, то ищем тот, который удовлетворяет. И все, никаких эмоций и ЛОХОВ. А ценность данных, в этих случаях не Админ определяет, а совсем другие люди. Из FAQ McAfee Artemis про их аналогичную технологию. "Privacy What information is sent from the GTI Proxy to the Cloud and will the data be protected in transit? GTI Proxy sends the same information as the information that is sent from an end host. This is an MD5 hash of the file that contains no actual data or metadata from the file itself. For more information, see KB53735. GTI Proxy supports protection for data in transit between the GTI Proxy and the McAfee GTI Cloud via UDP over SSL. SSL is supported using the DTLS protocol. The GTI Proxy will access DTLS capable servers in the McAfee goal to resolve the location of SSL Internet exposed capabilities. " На русском не нашел. Но смысл, что когда антивирус на endpoint заметил подозрительный файл и хочет его проверить в Облаке, то отсылается только хэш этого файла. Даже так. Речи о том, что мы точка сбора - нет. Это проблемы McAfee где у него точки сбора. Отправка в любом случае должна быть (т.к. проверка идет в Облаке), только в каком виде?
  3. И еще вопрос-уточнение. Если я правильно понял, то без участия в KSN - доступа к репутационной базе - нет? Если я не согласен, чтобы рабочие станции моей сети были точками сбора, то антивирусная проверка в "Облаке" невозможна? Эта функция работает только как обрантая связь KSN?
  4. Принято. Хотя я не точно выразился. Говорил об альтернативе локальных баз. Две совершенно разные технологии? Сильно сказано. Просто - разные. Об Avast - забыли. Я знал об KSN, но не обращал внимания на наличие обратной связи, точнее не принимал это всерьез. Т.е. скорость ответа, какая? "программа автоматически отправляет в Лабораторию Касперского информацию о проверяемых файлах и получает сведения о категории этих файлов и их репутации" Вот получает сведения за какой промежуток времени? Я просто никогда не видел сработки этой обратной связи. Например, у McAfee - вредоносные программы из облачной базы - имеют условное название "Artemis+хэш файла". Сразу видно даже по логу. Потом, ответ из облачного сервиса приходит через секунды. Это время ризолвинга специального DNS запроса в "облаке" McAfee. Т.е. на момент отправки запроса этот файл уже известен и я просто получаю ответ о категории этого файла. У McAfee есть тестовые файлы типа, eicar для проверки работоспособности этого сервисы. Есть ли тестовые файлы для проверки работы обратной связи KSN?
  5. Почему антивирус Касперского не использует потоковую передачу обновлений? Например, это есть у McAfee (GTI - Artemis - Global Threat Intelligence), у Avast - "Потоковая передача обновлений". Эти вендоры обосновывают необходимость этого функционала - быстрой реакцией на новые угрозы. Если антивирус по определенным критериям обнаруживает подозрительный файл, то он дает запрос на проверку только этого файла в онлайн базе своего вендора. "Система Artemis использует для обнаружения вредоносного ПО не локальную базу данных, а онлайновое хранилище цифровых подписей, обновляющееся практически в режиме реального времени. При выявлении подозрительного объекта система Artemis связывается с центральными серверами и проверяет, не представляет ли этот файл угрозы для пользователя. Весь процесс занимает минимум времени и никак не отражается на быстродействии клиентской системы." McAfee, кстати, передает хэш подозрительного файла DNS запросом, Avast обычным образом - по http. Я не хочу сказать, что это очень нужно во всех случаях. Возможно у Касперского другой подход к формированию локальной базы. Например, я знаю, несколько случаев, когда вредоносные программы - вымогатели локализованные для Украины, попадали в основную (локальную) базу McAfee через полгода, а в онлайн базе появлялись почти одновременно с появлением в базах других вендоров (Касперский, DrWeb). Мне кажется, это модная фишка, возможно нужная, возможно необходимая в каких то случаях. Интересно узнать мнение. Особенно, мнение сотрудников лаборатории.
  6. Как где? Вы в цифры всмотритесь. Это цифры национального масштаба. P.S. В название нашей компании входит "Национальная --- компания". Так что я имею право говорить о нац. масштабе. Всех с наступающим!
  7. Все. Вопрос закрыт. Антивирус Касперского обнаруживает вредоносный код для Android. На рабочих станциях и на Proxy. И на рабочих станциях и Proxy - этот вредонос - ловится. Причем на рабочих станциях - весь apk - не перносится в карантин (типа убивается), а очищается один вредоносный модуль из всего архива apk. Psykyler. Огромное спасибо. Вы сделали то, что должны были - работники службы поддержки лаборатории. Вот ответ антивируса на нашем Proxy и из него видно, как он (антивирус) называется. Squid: Запрашиваемый обьект INFECTED. Содержит вирус 'HEUR:Trojan-SMS.AndroidOS.Opfake.a' Эта страница создана Kaspersky Antivirus for Linux Proxy Server version 5.5.80/RELEASE build #71 at 28-12-2012 17:31:19 У нас стоит Squid. Проверил этот вредонос на https://www.virustotal.com/file/9734399b1dd...sis/1356705532/ Интересная картина. TrendMicro, Symantec, Microsoft, McAfee, Fortinet - не видят его. На данный момент. Насчет nod32 v.4.2.71.3 - он ловит его почтовым модулем и Инет. И реакция - просто блокирует доступ. Не очищает. Файловый монитор- не видит. Еще раз спасибо Вам Psykyler P.S. Всех с наступающим Новым годом!
  8. Да я согласен. Только это теория, а практика иногда отличается. Psykyler Спасибо. За помощь. Самое ценное из этого обсуждения. Есть возможность проверить. Плохо, что тестового нет. Это название "Антивирус Касперского для Proxy Server 5.5 " Для каких прокси не знаю. Всех. Знаю, что для нашего - подходит. Да, наверно, если при монтировании убивает, то при скачивании - тоже убьет.
  9. Ни вопрос: ID запроса: INC000001077749 Только что он Вам даст? Вы из лаб Касперского? Конечно. Company ID: 15794 Сейчас на дворе кризис. Вы заметили? Идет, уже давно, урезание IT бюджета. Компания не коммерческая. Владелец - государство. Еще вопросы? И я технический специалист, а не менеджер. Это вопрос к руководящему составу. Если Вы имели опыт общения с такими товарищами, по поводу расходных статей, то Вы меня поймете. И еще, я не заметил Вашего ответа или версии, на мой вопрос. Или так все очевидно? Спасибо. Т.е. это не при скачивании файла из Инета? Это при подключении microSD смартфона (автомонтировании) на компе происходит? А живого вредоноса ни у кого нет? Или кто-то может, слышал о тестовом коде типа EICAR? Думаю - Да, одна и та же. А вот по поводу 2-ого моего вопроса...Антивирус для Proxy имеет такие же базы или нет? Я не хочу разводить демагогию. Хочу получить точный ответ. Зачем? Ответ - BYOD.
  10. Можете ржать дальше... Не хочу ни кого пиарить, но при запросе в службу поддержки того вендора, которого Вы упоминаете, кроме "С уваженем ..." было имя и фамилия специалиста. Но есть нюанс, представительство этого вендора в Украине. Думаю, что р. Коми оно не обслуживает. Этот вопрос мог бы быть закрыт при официальном ответе мне как представителю компании Национального масштаба. Я открывал 2-а Tickets. В CompanyAccount и Поддержка домашних пользователей. Ответ был от поддержки домашних пользователей. Должно быть не так... Этот спор решил бы представитель Лаборатории Касперского, но в этой теме их не видно. Просто, если это ответ официальный в CompanyAccount - то это другой уровень ответственности. И там точно должны быть имя и фамилия, дающего ответ. Этот спор решил бы проверочный файл типа EICAR, но ИМХО, для мобильных платформ его еще нет. Если не прав -поправьте. Буду признателен. Да, конечно. Только как?
  11. Я остаюсь при своем мнении , что в базах для Рабочих станций и серверов Windows и антивируса для Proxy - нет сигнатур вредоносных программ для платформы Android. Я не получил официальный ответ от службы поддержки корпоративных пользователей. Время открытия Ticket 11.12.12. Все разумные временные пределы уже пройдены. Насчет полученного ответа от службы поддержки домашних пользователей, на который я ссылался в предыдущем посте. В нем нет подписи, я не вижу имя и фамилию работника службы поддержки, который мне отвечает. Проверил аналогичные ответы, полученные мной от 3-х других вендоров антивирусных продуктов - везде есть информация об ответственном лице, который дает ответ. Причем в 2-х случаях я задавал вопросы в службы поддержки бесплатных продуктов этих вендоров. Во всех 3-х случаях время ответа не превышало 12 часов. P.S. Жаль, что нет возможности отредактировать предыдущий пост...
  12. Я не путаю. Интересная вещь, задал вопрос тут на форуме об Андроиде, в Поддержке домашних пользователей (без указания Активационного кода, проще без лицензии) и в Поддержке компаний (CompanyAccount). Причем наша компания немаленькая. Поддержка домашних пользователей - 6.12.12 задал ответили - 14.12.12 Вопрос: "обнаружит ли AK2012, установленный на PC, вредоносный код в apk или бинарном коде для Andriod?" да, вредоносный код будет обнаружен Так что ответ уже есть. Вы были правы. Но вопрос о антивирусе для Proxy - пока не отвечен. Скорей всего Да, но ... Открыт Ticket был 11.12.12. С лицензией там все Ок. Это удивляет ...
  13. Неделя уже прошла. Про именно вирусы под Android- не слышал, то, что знаю - трояны. ИМХО даже червей нет, но не уверен. Программы, скачивающие основной вредоносный код, если не ошибаюсь Trojan-downloader и их сигнатуры - должны быть в антивирусных базах Те типы угроз, о которых Вы упомянули, как ни странно - но содержатся в базах антивирусов, даже запароленные архивные файлы - пустышки, вымогающие деньги с помощью SMS, тоже содержатся в антивирусных базах некоторых вендоров. "как можно исхитрится не обнаружить последовательность байт, находящихся в таком-то месте файла." можно, если в базе нет определений.
  14. Продублировал этот вопрос через Службу поддержки корпоративных клиентов. Но немного изменил вопрос: "Обнаружит ли "Kaspersky for Proxy Server 5" в трафике - угрозу для Android". Ticket был открыт 11.12.12 - но до сих пор технического ответа я не получил. Напрашивается объяснение - "НЕТ не обнаружит". Иначе, зачем игнорировать такой простой вопрос? Только когда ответ - отрицательный.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.